AWS Audit Manager および AWS Organizations

AWS Audit Manager を使用すると、AWS の使用状況を継続的に監査し、リスク評価、および規制や業界標準とのコンプライアンスの評価の方法を簡素化できます。Audit Manager はエビデンスの収集を自動化するため、ポリシー、手順、アクティビティが効果的に機能しているかどうかの評価が容易になります。監査が実施される際には、Audit Manager を使用し、コントロールについてのステークホルダーレビューを管理できます。また、監査用のレポートの作成に費やす手間を大幅に削減できます。

Audit Manager をAWS Organizations と統合すれば、評価対象になっている組織の AWS アカウント を複数含めることで、より広範な情報源からエビデンスを収集できます。

詳細については、Audit Manager ユーザーガイドの Enable AWS Organizations を参照してください。

AWS Audit Manager と AWS Organizations の統合には、次の情報を参考にしてください。

統合を有効にする際に作成されるサービスにリンクされたロール

信頼されたアクセスを有効にすると、以下のサービスにリンクされたロールが組織の管理アカウントに自動的に作成されます。このロールにより、Audit Manager はサポートされているオペレーションを組織内のアカウントで実行できます。

このロールを削除または変更できるのは、Audit Manager と Organizations 間の信頼されたアクセスを無効にした場合か、組織から当該のメンバーアカウントを削除した場合です。

Audit Manager でこのロールを使用する方法について詳しくは、AWS Audit Manager ユーザーガイドの Using service-linked roles を参照してください。

• AWSServiceRoleForAuditManager

サービスにリンクされたロールで使用されるサービスプリンシパル

前のセクションで説明したサービスにリンクされたロールを引き受けることができるのは、ロールに定義された信頼関係によって承認されたサービスプリンシパルだけです。Audit Manager によって使用されるサービスにリンクされたロールには、次のサービスプリンシパルへのアクセス許可が付与されます。

• auditmanager.amazonaws.com

Audit Manager との信頼されたアクセスを有効にするには

信頼されたアクセスの有効化に必要なアクセス許可に関しては、信頼されたアクセスを有効にするために必要なアクセス許可 を参照してください。

組織の委任管理者にするメンバーアカウントを指定するにあたり、Audit Manager には AWS Organizations への信頼されたアクセスが必要です。

AWS Audit Manager コンソールまたは AWS Organizations コンソールのいずれかを使用して、信頼されたアクセスを有効にできます。

重要

Organizations との統合の有効化には、可能な場合は常に AWS Audit Manager コンソールまたはツールを使用することを強くお勧めします。そうすることで、サービスに必要なリソースの作成など、必要な構成が AWS Audit Manager で実行可能になります。ここに示す手順は、統合の有効化に AWS Audit Manager が提供するツールを使用できない場合にのみ実施してください。詳細については、この注意を参照してください。

AWS Audit Manager コンソールまたはツールを使用して信頼されたアクセスを有効にする場合、これらのステップを実施する必要はありません。

Audit Manager コンソールを使用して信頼されたアクセスを有効にするには

信頼されたアクセスを有効にする手順については、AWS Audit Manager ユーザーガイドのセットアップを参照してください。

注記

AWS Audit Manager コンソールを使用して委任管理者を設定する場合は、信頼されたアクセスは AWS Audit Manager によって自動的に有効になります。

信頼されたアクセスの有効化には、Organizations の AWS CLI コマンドを実行する方法と、いずれかの AWS SDK で Organizations API オペレーションを呼び出す方法があります。

AWS CLI, AWS API

Organizations CLI/SDK を使用して信頼されたアクセスを有効にするには

信頼されたサービスのアクセスを有効にするには、次の AWS CLI コマンドまたは API オペレーションを使用できます。

• AWS CLI: enable-aws-service-access

  次のコマンドを実行し、AWS Audit Manager を Organizations で信頼されたサービスとして有効にすることができます。

  $ aws organizations enable-aws-service-access \
      --service-principal auditmanager.amazonaws.com

  このコマンドが成功した場合、出力は生成されません。

• AWS API: EnableAWSServiceAccess

Audit Manager との信頼されたアクセスを無効にするには

信頼されたアクセスの無効化に必要なアクセス許可に関しては、信頼されたアクセスを無効にするために必要なアクセス許可 を参照してください。

AWS Organizations 管理アカウントの管理者だけが AWS Audit Manager との信頼されたアクセスを無効にできます。

Organizations ツールだけで、信頼されたアクセスを無効にできます。

信頼されたアクセスの無効化には、Organizations の AWS CLI コマンドを実行する方法と、いずれかの AWS SDK で Organizations API オペレーションを呼び出す方法があります。

AWS CLI, AWS API

Organizations CLI/SDK を使用して信頼されたアクセスを無効にするには

サービスへの信頼されたアクセスを無効にするには、次の AWS CLI コマンドまたは API オペレーションを使用できます。

• AWS CLI: disable-aws-service-access

  次のコマンドを実行し、AWS Audit Manager を Organizations で信頼されたサービスとして無効にすることができます。

  $ aws organizations disable-aws-service-access \
      --service-principal auditmanager.amazonaws.com

  このコマンドが成功した場合、出力は生成されません。

• AWS API: DisableAWSServiceAccess

Audit Manager 用の委任管理者アカウントの有効化

メンバーアカウントを組織の委任管理者として指定すると、そのアカウントのユーザーおよびロールは、Audit Manager の管理アクションを実行できるようになります。通常この管理アクションは、組織の管理アカウントのユーザーとロールだけが実行できるものです。この手法は、組織の管理から Audit Manager の管理を分離するのに有効です。

最小アクセス許可

次の許可を持つ Organizations 管理アカウントのユーザーまたはロールのみが、組織内で Audit Manager の委任管理者としてメンバーアカウントを設定できます。

audit-manager:RegisterAccount

Audit Manager 用に委任管理者アカウントを有効にする手順については、AWS Audit Manager ユーザーガイドのセットアップを参照してください。

AWS Audit Manager コンソールを使用して委任管理者を設定すると、信頼されたアクセスが Audit Manager によって自動的に有効になります。

AWS CLI, AWS API

AWS CLI または AWS SDK を使用して委任管理者アカウントを設定するには、次のコマンドを使用します。

• AWS CLI:

  $  aws audit-manager register-account \
      --delegated-admin-account 123456789012

• AWS SDK: 管理者アカウントを委任するには、RegisterAccount オペレーションを呼び出して delegatedAdminAccount をパラメーターとして渡します。